Ransomware apilado con servicios de distribución crea la tormenta perfecta



Los incidentes de ransomware han aumentado drásticamente en los últimos años. Quejas sobre ataques de ransomware al Centro de Quejas de Delitos en Internet del FBI aumentó 62% en la primera mitad de 2021 en comparación con un período de tiempo related en 2020, según la Agencia de Seguridad de Infraestructura y Ciberseguridad. Para mitigar esta creciente amenaza, los profesionales de la seguridad deben comprender a los actores detrás de las amenazas de ransomware, cómo operan y cómo encuentran continuamente nuevas víctimas a las que apuntar.

Análisis más detallado de campañas de ransomware de alto perfil me gusta REvil y Thanos muestra que las asociaciones organizadas entre operadores de ransomware y afiliados, cada uno aprovechando sus puntos fuertes, ayudan a ejecutar delitos cibernéticos a gran escala y para obtener el máximo pago.

La colaboración operador-afiliado

Al llevar a cabo campañas de ransomware a gran escala, los operadores y afiliados (a veces denominados «facilitadores») dividen y distribuyen el trabajo necesario para causar el máximo daño.

Los operadores se aseguran de que el paquete de ransomware se pueda personalizar, descargar y rastrear cuando se instalan los paquetes. Los operadores de ransomware también asumen el trabajo de ejecutores de extorsión, asegurándose de que los sistemas de pago sean completamente funcionales. Investigación de CrowdStrike muestra que el 96% de quienes pagaron el rescate inicial también tuvieron que pagar tarifas de extorsión.

Los afiliados son más hábiles para encontrar víctimas y emplear tácticas de ingeniería social que convencen a las víctimas de que descarguen el paquete malicioso. La escala del ataque, medida por el número de víctimas objetivo, generalmente recae sobre los hombros del afiliado.

Para garantizar el alcance más amplio, los afiliados utilizan servicios de distribución, un conjunto específico de tecnologías implementadas para obtener acceso inicial, comprometer y apuntar a las víctimas, y moverse lateralmente para llegar a los activos y datos críticos que son el objetivo del ataque. Los servicios distribuidos pueden tomar varias formas, desde credenciales robadas adquiridas de intermediarios de acceso hasta campañas de ingeniería social y kits de explotación dirigidos a computer software y sistemas específicos.

A veces, varios afiliados trabajan juntos para causar estragos y aumentar el rescate y extraer el pago máximo. Los afiliados y los operadores también comparten el pago remaining, por lo que está en los intereses creados de cada parte completar su parte del trabajo de manera efectiva.

una tormenta perfecta

Este modelo de negocios bien engrasado entre operadores de ransomware y afiliados que usan servicios distribuidos es una tormenta perfecta porque lower la barrera de entrada para ambos tipos de actores maliciosos. Los afiliados, por ejemplo, no necesitan saber codificar programas maliciosos. Solo necesitan concentrarse en elegir víctimas y hacer que muerdan. Cada actor de amenazas juega con las fortalezas individuales en una asociación bien coreografiada.

Dado que los operadores y afiliados son responsables solo de una parte de la campaña de ransomware, se vuelve más difícil atribuir un delito a un actor de amenazas específico. Tanto los operadores de ransomware como los afiliados se protegen mutuamente en el ecosistema oscuro.

Este estilo de campaña de ransomware también es especialmente problemático, ya que la sofisticación con la que cada grupo de actores lleva a cabo su trabajo facilita que una infracción pase desapercibida durante meses. Por ejemplo, las herramientas de distribución pueden incluso venir con capacidades anti-forense integradas. La naturaleza de la relación operador-afiliado también sigue evolucionando, lo que hace que los actores malintencionados sean mucho más difíciles de rastrear.

Cómo los defensores pueden evitar la tormenta perfecta

Los equipos de seguridad pueden buscar refugio aprovechando primero la inteligencia de amenazas para comprender a los actores y la website oscura. El seguimiento de quién está en la parte remarkable de la cadena alimenticia de eCrime será elementary para sus defensas y para diseñar una estrategia de seguridad inteligente.

Comprensiblemente, la información sobre los operadores y afiliados por sí sola no es suficiente. También debe comprender los servicios de distribución que utilizan y si las campañas específicas de ransomware están inactivas o activas.

Escanear la net oscura en busca de corredores de acceso maliciosos que podrían estar vendiendo sus datos también ayuda a fortalecer la respuesta del adversario. Suscríbase a alertas sobre publicaciones criminales que mencionen su región geográfica o industria vertical para que los equipos de seguridad puedan obtener inteligencia inmediata y medir amenazas potenciales.

Finalmente, los equipos de seguridad deben realizar autopsias en los archivos maliciosos que dejan los operadores de ransomware. Dado que los operadores y los servicios de distribución reutilizan con frecuencia las herramientas de ataque, comprender el comportamiento del malware ayudará a diseñar las defensas adecuadas.

La lección para los equipos de seguridad es que las campañas de ransomware pueden aparecer y desaparecer, pero si no se detectan, los actores humanos detrás de ellas nunca desaparecen. Por lo general, se reinventan y trazan nuevos modos de ataque utilizando operadores y herramientas sofisticados en su ecosistema.

Las asociaciones rentables entre operadores de ransomware y afiliados crean oponentes astutos que ponen a prueba seriamente a los equipos de seguridad. Su uso de servicios distribuidos para entregar su arma preferida agrega otra capa de complejidad a una situación ya peligrosa. Los profesionales de la seguridad pueden apoyarse en múltiples servicios de inteligencia de amenazas para descubrir la compleja world wide web oscura, identificar estas asociaciones de afiliados de operadores y detener a los actores de amenazas maliciosos en su camino.



Enlace a la noticia initial